No caso do Linux, a própria distribuição Debian, recomendada para que cada um instale na máquina própria, provê o Snort já compilado, de modo que basta uma conexão com a internet e dois comandos para instalar a parte básica do Snort: apt-get update e apt-get install snort.O primeiro comando atualiza a base de pacotes do Debian e o segundo comando efetivamente instala a última versão do Snort disponível.
A configuração do Snort reside no arquivo /etc/snort/snort.conf. Esse arquivo é extenso e contém uma série de parâmetros de configuração do Snort.
Com o intuito de facilitar a atualização de regras, foi criada uma ferramenta chamada Oinkmaster, que permite que a atualização seja feita de forma automática. A instalação do Oinkmaster é automaticamente realizada junto com o Snort, durante a execução do comando apt-get install.
O Guardian é um script na linguagem Perl, que insere temporariamente regras de bloqueio em um firewall, a partir dos alertas gerados pelo Snort. Através do Guardian, a instalação de Snort passa a ter uma característica reativa.
O Snort-inline é um modo especial de funcionamento do Snort, integrado com o firewall Iptables/ netfilter para funcionar como um IPS. Cada pacote recebido pelo Iptables é encaminhado para uma fila (queue), para ser processado pelo Snort-inline, que pode descartar pacotes de acordo com as suas regras, de modo que o pacote não é passado adiante pelo processo de roteamento do firewall. Opcionalmente podem ser gerados registros e alertas correspondentes.
Outro projeto de IDS é o HLBR, desenvolvido no Brasil e disponível no sourceforge. O Bro IDS é um projeto open source de um sistema de detecção de intrusos baseado em rede. Forte concorrente do Snort, ele monitora de forma passiva o tráfego de rede em busca de atividades suspeitas. A sua análise inclui a detecção de ataques específicos (inclusive os definidos pelas assinaturas, mas também aqueles definidos em termos de eventos) e atividades incomuns (por exemplo, certo host conectar a determinados serviços ou falhas em tentativas de conexão).
Se o Bro detectar algo de interesse, pode ser configurado para gerar uma entrada de log, alertar o operador em tempo real, executar um comando do sistema operacional (por exemplo, para finalizar a conexão ou bloquear um host malicioso on-the-fly).